Комментарии 254
> Главная рекомендация для Telegram: не принимать код авторизации, если не пришло подтверждение его доставки.
Что мешает злоумышленникам отослать фейковое подтверждение?
Что мешает злоумышленникам отослать фейковое подтверждение?
Смотря кого понимать под злоумышленником. Для сотовой компании отослать подтверждение себе дороже — тогда можно запросить техническую информацию, куда ушло сообщение и кто отправил подтверждение. Сейчас все выглядит более логично — смс не дошло, так как сервис СМС отключен.
Или просто 2х факторная авторизация
А до спецслужб подобным(в плане «воровства» смс подтверждений) занимались жулики, выпуская через знакомых в салонах связи новые сим карты на существующие номера жертв и обналичивая деньги с их банковских счетов.
Это совсем не то. Когда жулик выпускает новую симкарту, старая перестаёт работать и это сразу заметно. Тут же телефон работал, просто смс заворачивались «куда надо». Фактически — прослушка.
Непонятны слова Дурова «Как я пользуюсь Телеграмом: есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к сим-карте адекватной юрисдикции»
СМС по каналам связи оператора-2(предоставляющий услуги роуминга и в чей сети зарегистрирован абонент) от оператора-1(чья сим-карта, но который не предоставляет услуги сотовой связи в месте расположения абонента) легко читается или нет?
СМС по каналам связи оператора-2(предоставляющий услуги роуминга и в чей сети зарегистрирован абонент) от оператора-1(чья сим-карта, но который не предоставляет услуги сотовой связи в месте расположения абонента) легко читается или нет?
Не то что легко читается, она plaintext-ом идет :)
Он ещё выполняет 9.5 правило ведения бизнеса, так что всё OK.
Есть невероятно много мест, где SIM-карту можно купить анонимно. Навскидку — Украина и США. При этом роуминг замечательно работает. Таким образом прочитать, конечно, можно, но вот только неизвестно, кого читать. Ну и до кучи: у многих штатовских операторов есть фишка под названием «Wi-Fi Calling»: при наличии Wi-Fi соединения через него пробрасывается IPSec-туннель прямо до IMS Core родного оператора, и всё начинает ходить через него — и голос, и SMS.
"… вот только неизвестно, кого читать..." — хм, даже по тексту SMS можно идентифицировать. Да и странно думать, что тот, кто Вами интересуется, не знает всех номеров ваших сотовых, которые Вы используете :)
"...Wi-Fi Calling… IPSec-туннель прямо до IMS Core родного оператора..." — дело новое ж, сколько десятков там дырок никто ж не знает. Но очевидно что, правоохранители родного оператора, очевидно доступ будут иметь, а местные, как минимум, смогут его отключить.
SIM не местного оператора, по-любому, только увеличивает риски :)
"...Wi-Fi Calling… IPSec-туннель прямо до IMS Core родного оператора..." — дело новое ж, сколько десятков там дырок никто ж не знает. Но очевидно что, правоохранители родного оператора, очевидно доступ будут иметь, а местные, как минимум, смогут его отключить.
SIM не местного оператора, по-любому, только увеличивает риски :)
"… вот только неизвестно, кого читать..." — хм, даже по тексту SMS можно идентифицировать. Да и странно думать, что тот, кто Вами интересуется, не знает всех номеров ваших сотовых, которые Вы используете :)Речь об использовании такого номера для SMS-авторизации, а не как основного. Если его не раздавать направо-налево, и не публиковать у себя в оппозиционном блоге — как минимум на порядок можно усложнить задачу поиска номера для атаки. Я не знаю, какое количество роуминговых абонентов одновременно активно в той-же Москве, но здравый смысл подсказывает что немало. Да и SIM роуминговая может сегодня в одной сети зарегаться, завтра — в другой. К какому оператору бежать отключать SMS?
"...Wi-Fi Calling… IPSec-туннель прямо до IMS Core родного оператора..." — дело новое ж, сколько десятков там дырок никто ж не знает. Но очевидно что, правоохранители родного оператора, очевидно доступ будут иметь, а местные, как минимум, смогут его отключить.IPSec — новое? Разве только если со стандартом GSM сравнивать… Родной оператор — да, безусловно может и читать и спецслужбам сливать, а вот местные сомневаюсь что легко смогут отключить (про читать IPSec с SIM-авторизацией я вообще не говорю): разве только всех провайдеров заставить банить список адресов гейтов буржуйских операторов. Ну и снова-таки у того-же Verizon просто на сайте в личном кабинете все SMS доступны — можно даже в Россию не привозить телефон.
«Если его не раздавать направо-налево» — что значит не раздавать, он же сам для роуминга зарегистрируется. И, если правоохранительным органам (да и любому не пионеру) конкретный субъект интересен, то не составит труда сопоставить места регистраций.
«IPSec — новое?» — как сказать, IKEv2 — просто сверхновое, там ещё осталось масса вопросов. А про IKEv1, конечно, все дырки известны, но его редко кто безопасно использует. А вот реализация «Wi-Fi Calling» — это ж терра-инкогнита, насколько небезопасно там IPsec используется и сколько в нём дыр, никому ж неизвестно ж.
«Verizon просто на сайте в личном кабинете все SMS доступны» — вай-вай, просто замечательно ж, ну так все правоохранители, как те, так и другие, в этом личном кабинете всё и сделают :)
«IPSec — новое?» — как сказать, IKEv2 — просто сверхновое, там ещё осталось масса вопросов. А про IKEv1, конечно, все дырки известны, но его редко кто безопасно использует. А вот реализация «Wi-Fi Calling» — это ж терра-инкогнита, насколько небезопасно там IPsec используется и сколько в нём дыр, никому ж неизвестно ж.
«Verizon просто на сайте в личном кабинете все SMS доступны» — вай-вай, просто замечательно ж, ну так все правоохранители, как те, так и другие, в этом личном кабинете всё и сделают :)
«Если его не раздавать направо-налево» — что значит не раздавать, он же сам для роуминга зарегистрируется. И, если правоохранительным органам (да и любому не пионеру) конкретный субъект интересен, то не составит труда сопоставить места регистраций.Тут еще вопрос, насколько интересен субъект. Вполне может оказаться достаточно интересен чтобы поискать по фамилии в базе МТС, но недостаточно интересен чтобы заморачиваться с поиском его роуминговой SIM, или IPSec-туннелей.
«Verizon просто на сайте в личном кабинете все SMS доступны» — вай-вай, просто замечательно ж, ну так все правоохранители, как те, так и другие, в этом личном кабинете всё и сделают :)«Те» может и сделают (но зачем?!), а «другие» должны будут для начала обнаружить соответствие субъекта и купленной в WalMart за кэш коробочки с телефоном Verizon. Особенно если номер ни разу в РФ-роуминге не светился (и вообще ни в каком роуминге кроме Wi-Fi не светился, ибо CDMA).
"… заморачиваться..." — в контексте спецслужб (или любых не пионеров), здесь нет мороки.
"...'Verizon просто на сайте в личном кабинете все SMS'… РФ-роуминге не светился..." — если субъект будет регулярно входить в личный кабинет для проверки SMS, то скорее всего он будет делать это не один. Аккаунт Verizon вряд ли крепче защищён нежели какой-нибудь Facebook или…
"...'Verizon просто на сайте в личном кабинете все SMS'… РФ-роуминге не светился..." — если субъект будет регулярно входить в личный кабинет для проверки SMS, то скорее всего он будет делать это не один. Аккаунт Verizon вряд ли крепче защищён нежели какой-нибудь Facebook или…
Переоценивать врагов не менее опасно чем недооценивать :) ИМХО и у спецслужб, и у других «не пионеров» есть бюджеты, есть конечное количество ресурсов, а значит есть подобие поля «приоритет» у условных «тикетов» на «разработку» различных субъектов. Даже если почитать сливы Сноудена — сразу видно, что большинство инструментария работает только если у жертвы Windows на компьютере, и Android на телефоне. Таким образом по аналогичному таску «Взлом Telegram» у малозначимого субъекта тикет будет закрыт с формулировкой «не удалось выполнить при помощи стандартных средств», а у субъекта значимого будет закрыт с солюшеном "взломано путём запихивания веб-камеры в голову котэ сцубъекта и подсматривания пароля"…
P.S.
"… всех провайдеров заставить банить список..." — зачем всех? Конкретный субъект ночует (или днюет) в сравнительно одном месте, так что и провайдер один, ну и по трафику буржуйский оператор определяется.
P.P.S.
Супротив восточной мудрости «Что знают трое — знает и свинья» не попрёшь, все эти мессенджеры небезопасны по определению. Желаете секретничать, будте добры передавать ключики на отделяемых носителя из одних доверенных рук в другие проверенные ручки передавать.
"… всех провайдеров заставить банить список..." — зачем всех? Конкретный субъект ночует (или днюет) в сравнительно одном месте, так что и провайдер один, ну и по трафику буржуйский оператор определяется.
P.P.S.
Супротив восточной мудрости «Что знают трое — знает и свинья» не попрёшь, все эти мессенджеры небезопасны по определению. Желаете секретничать, будте добры передавать ключики на отделяемых носителя из одних доверенных рук в другие проверенные ручки передавать.
P.S.Не проверял, но не удивлюсь если буржуйский оператор использует какой-нибудь AWS, и без последствий для кучи других сайтов заблочить не выйдет. Кроме того, блочить придётся не только у провайдера субъекта, но и у провайдеров его соседей с открытым Wi-Fi, и в McDonalds ближайшем (в России же есть wifi в McDonalds?), у т.д. Снова-таки возвращаемся к вопросу о степени интереса к субъекту, потому как если вы _ДЕЙСТВИТЕЛЬНО_ интересны настолько — рекомендую повнимательнее присмотреться к своему котэ. На всякий случай.
"… всех провайдеров заставить банить список..." — зачем всех? Конкретный субъект ночует (или днюет) в сравнительно одном месте, так что и провайдер один, ну и по трафику буржуйский оператор определяется.
P.P.S.Согласен, но ведь не всегда возможно это…
Супротив восточной мудрости «Что знают трое — знает и свинья» не попрёшь, все эти мессенджеры небезопасны по определению. Желаете секретничать, будте добры передавать ключики на отделяемых носителя из одних доверенных рук в другие проверенные ручки передавать.
«AWS» — для IPsec? Может быть, конечно, но тогда, во-первых, защищённость этого IPsec вызывает сомнения и, во-вторых, это ж редкость, плюс специфика IPsec подразумевает выделенный адрес или имя для стороны шлюза, так что проблем с блокировкой не должно возникать.
"… блочить придётся не только у провайдера субъекта..." — зачем постоянно блокировать? Если задача это подбор пароля (смена/восстановление) второго фактора, так сказать, аутентификации, то перехват SMS нужен на несколько часов/минут в день.
"… но ведь не всегда возможно это…", но иначе дело швах. Если потенциальный нарушитель не пионер, а тем более если он спецслужба, то надёжнее использовать открытые каналы. В этом случае, хотя бы, не будет заблуждений на сей счёт: «могут прослушать или нет». Могут, и всякая собака может.
"… блочить придётся не только у провайдера субъекта..." — зачем постоянно блокировать? Если задача это подбор пароля (смена/восстановление) второго фактора, так сказать, аутентификации, то перехват SMS нужен на несколько часов/минут в день.
"… но ведь не всегда возможно это…", но иначе дело швах. Если потенциальный нарушитель не пионер, а тем более если он спецслужба, то надёжнее использовать открытые каналы. В этом случае, хотя бы, не будет заблуждений на сей счёт: «могут прослушать или нет». Могут, и всякая собака может.
В Польше есть предоплаченные симки. Можно купить без доков.
Я в плане того что подтверждениям по СМС уже давно нельзя доверять.
старая перестаёт работать и это сразу заметно
В два часа ночи это заметно далеко не всем.
С утра он не заработает.
Но денег-то уже не будет
Это совершенно разные вещи. Ворам абсолютно всё равно, что будет с телефоном жертвы после воровства, хоть взорвётся. Деньги уже у них. Тут же была явная попытка поставить телеграмм на прослушку «без шума и пыли», чтобы жертва вообще ничего не заподозрила. Но это не вышло, так как телеграмм присылает сообщение о входе в аккаунт, о чём преступники, видимо, не знали. Уровень операции совершенно другой и не может быть осуществлён рядовым сотрудником.
Так глупо спалиться, почему не опробовать на «кошках» своем коллеге. Скорей всего хотели именно «прочитать текущую переписку». Тогда следующий вопрос: кто такой этот Олег, чтобы его переписку кто-то захотел почитать?
Причем тут «без шума и пыли» и «спалились»?
Задача была просто залогиниться и прочитать переписку. Она подгружается же.
Задача была просто залогиниться и прочитать переписку. Она подгружается же.
У некоторых банков есть привязка к IMSI конкретной SIM-карты и на новую подтверждение не отправят.
Ещё лет 15 назад на Siemens сделал себе виртуальную карточку прямо в телефоне (была такая хитрая прошивка патченная), которая воспринималась сотовой как родная. Но в то же время если я забывал телефон, вставлял в запасной саму карточку — и вот я снова на связи. Очень удобно. К сожалению, в современных смартах я не знаю, как проделать такой трюк.
Это я к тому, что ещё 15 лет назад можно было клонировать SIM-карту вместе с IMSI. А тем более, если всё происходит прямо у опсоса — выдадут какой надо IMSI. Впрочем, я не очень представляю, а как вообще банк может его запросить?
Это я к тому, что ещё 15 лет назад можно было клонировать SIM-карту вместе с IMSI. А тем более, если всё происходит прямо у опсоса — выдадут какой надо IMSI. Впрочем, я не очень представляю, а как вообще банк может его запросить?
Даже тогда не все симки клонировались, а банки проверяют IMSI запросом к оператору. От силовиков это не защитит — они и так читают сообщения СОРМом, а обычные мошенники код не получат.
Впрочем, я не очень представляю, а как вообще банк может его запросить?
HLR-запрос. Это доступно не только банку.
Вообще странно, что не сделано как у гугла, первая и главная авторизация по логину-паролю с привязкой к почте, вторая смс, т.е. на первое место ставить более защищенный способ, на второй менее защищенный, а Паша видать по привычке как в контакте сделал, думая что первый этап авторизации безопаснее по логину и паролю по https.
дальше всех пошёл Blizzard
Ого, реально надежно. Пароль = РІN + код
Vasco Digipass Go 6
Vasco Digipass Go 6
У Google есть Authenticator, мобильное приложение, которое занимается примерно тем же. Правда, они закрыли исходники, но стандарт один, есть альтернативы — например, редхэтовский FreeOTP.
А ещё для второго фактора мне очень нравится FIDO U2F, там аппартный ключ, который генерирует код подтверждения, причём для каждого сайта разный, а криптографический ключ из него не достать так легко. Из минусов — плохая поддержка смартфонов, из сайтов, поддерживающих его пользуюсь только гуглом с его сервисами, из браузеров — пока только хром. Можно использовать не только на сайтах, например, для SSH. Где-то был список всех, кто его поддерживает.
А ещё для второго фактора мне очень нравится FIDO U2F, там аппартный ключ, который генерирует код подтверждения, причём для каждого сайта разный, а криптографический ключ из него не достать так легко. Из минусов — плохая поддержка смартфонов, из сайтов, поддерживающих его пользуюсь только гуглом с его сервисами, из браузеров — пока только хром. Можно использовать не только на сайтах, например, для SSH. Где-то был список всех, кто его поддерживает.
Для винды пользуюсь WinAuth, понимает разные аутентикаторы по стандарту RFC 6238.
> например, для SSH
ага, только для убунты есть патчи для ssh 6.7p1… и патчить надо и клиент и сервер… и все это должным образом не протестировано.
так что, пока об этом еще очень рано говорить.
ага, только для убунты есть патчи для ssh 6.7p1… и патчить надо и клиент и сервер… и все это должным образом не протестировано.
так что, пока об этом еще очень рано говорить.
Мобильное приложение плохо тем, что мобильник может быть скомпрометирован, собтвенно как и компьютер с usb токеном, просто пока и то и другое находится под защитой неуловимого джо в виду малой распространённости.
Рекомендую программный TOTP для OS X и iOS — 1password. https://blog.agilebits.com/2015/01/26/totp-for-1password-users/
TOTP умееют все крупные сервисы: вконтакте, фейсбук, google, github, bitbucket, digital ocean. Давно отвязал второй фактор в виде SMS от всего что можно.
TOTP умееют все крупные сервисы: вконтакте, фейсбук, google, github, bitbucket, digital ocean. Давно отвязал второй фактор в виде SMS от всего что можно.
Так Google Authenticator/FreeOTP — тоже TOTP ;)
Но ничто из этого кроме 1password не работает на десктопных ОС-ях.
Предлагаемый вами вариант — это довольно дорогой комбайн. Версия в которой включена функция TOTP для мобильных устройств так же платная. Выставлять плюсом то, что «второй фактор» можно вынести на десктоп я бы не стал, т.к. в этом случае складываем все яйца в одну корзину, а сама идея двухфакторной авторизации как раз заключается в том, чтобы точки прохождения авторизации разнести на разные узлы. Но если уж готовы на такой риск, то, наверное, лучшее решение — это все же Authy. Бесплатно, кроссплатформено, синхронизируемо между устройствами.
Есть WinAuth, который упомянули выше. Есть Authy, который работает как приложение в Хроме. Есть консольный oath-toolkit. Есть плагин к KeePass. Есть плагины к браузерам.
См. http://superuser.com/questions/462478/is-there-a-google-authenticator-desktop-client
См. http://superuser.com/questions/462478/is-there-a-google-authenticator-desktop-client
НЛО прилетело и опубликовало эту надпись здесь
Да вы видно шутите? OTP Token и всё.
А зачем вообще вся эта авторизация по SMS? Чем не устраивает старый добрый email или вообще без подтверждения: придумал логин, пароль, ввел в форму регистрации — зарегистрировался, ввел в форму авторизации — авторизовался.
Тем, что такая форма авторизации подвержена самым различным способам взлома. От брутфорса до элементарнного перехвата. Почитайте вот тут, например.
НЛО прилетело и опубликовало эту надпись здесь
Так и с симкой адекватной юрисдикции то же самое. Получается дело не в почта vs симка, а адекватная юрисдикция vs самизнаетечто…
НЛО прилетело и опубликовало эту надпись здесь
Было бы интересно, если бы организовали как сервис, то есть смски читать заходя на сайт например, ну и какой-нибудь проброс звонков через интернет, если оно надо. Просто номер в аренду в какой-нибудь Монголии, остальное продавать пакетами.
купите британский сотовый номер, например, от Sonetel.
Входящие СМС автоматически пересылаются на e-mail.
Входящие СМС автоматически пересылаются на e-mail.
В стране с адекватной юрисдикцией. Ну, или в стране, по отношении к которой вы — Неуловимый Джо.
А разве симка со сколь угодно адекватной юрисдикцией, находясь в стране с юрисдикцией другой, менее адекватной, не становится точно такой же уязвимой к описанным видам атак? Роуминг же, все данные идут через сети местного оператора, который точно так же может перехватывать сообщения.
Получается дело не в почта vs симка, а адекватная юрисдикция vs самизнаетечто…
Для почты я могу выбрать любой сервис (в том числе тот, который находится в адекватной юрисдикции). С симкой всё сложнее.
Ну, да, сложнее. Полагаю, мессенджеры, завязаные на телефоны делались изначально с упором на удобство, а не на конспирацию.
Ну, а теперь есть хороший повод к новому лозунгу, — Паша, приделай к телеграмму электропочту!
Занятно, что спецслужбы так по-глупому спалили уязвимость.
Ну, а теперь есть хороший повод к новому лозунгу, — Паша, приделай к телеграмму электропочту!
Занятно, что спецслужбы так по-глупому спалили уязвимость.
Более того, вы сами можете зарегистрировать домен и поставить почтовый сервер, который будет полностью под вашим контролем. Жаль, что телефонная сеть не такая децентрализованная, как почта/jabber, вроде 21 век уже, а воз и ныне там.
Например тем, что пароль можно забыть/потерять (под потерять понимается скомпрометировать — забыть разлогиниться, фишинг, MITM, просто просто записать на бумажке). С телефоном это сделать сложнее — вам нужно получить доступ к внутренним сервисам провайдера. Доступ к логину и паролю могут получить миллионы людей, доступ к телефону, без физической кражи и взлома кода доступа в самом телефоне, могут получить единицы.
Маркетинговый булшит и иллюзия безопасности: в телеграме по умолчанию вообще никакого пароля нет — только код из смс при авторизации нового устройства. Это мало того, что неудобно, если оказываешься в стране, где у твоего оператора нет соглашения о роуминге, так ещё и крайне глупо. Я знаю случаи, когда у человека сим-карту перевыпускали без его ведома после кучи звонков с левых номеров и пополнения на крупную сумму — очевидно, какая-то дубовая девочка в салоне сочла достаточным ответ на стандартные вопросы типа «последние звонки и баланс на счету» (привязки сим-карты к паспорту у нас нет). Нельзя использовать номер телефона как идентификатор, это неудобно и ненадёжно.
потому что получить новый номер сложнее чем новый имейл, это остановило бы поток спамеров и тд
Не сложнее, чуть дороже. Что бы не было спамеров, достаточно сделать режим, в котором тебе могут писать только после подтверждения, как в аське было. Хотя бы опционально.
Недавно спамеры «атаковали» тут один чат, 200 аккаунтов у них было. А для мыла всё равно в большинстве случаев нужен или телефон. или капча (да, я знаю про antigate).
Не проще запилить поддержку FreeOTP и/или Google authentificator? Как тот же Dropbox.
Там есть двухфакторая авторизация. У пользователя она была отключена.
Я просто мессенджерами не пользуюсь, кроме стандартного Hangouts. Мне всегда казалось, что пароль первичен. Если забыл, то на почту под двухфакторной. Или токен/OTP/СМС/распечатка одноразовых паролей плюс основной пароль.
У Телеграма изначально вообще пароля нет, ты ставишь приложение и вводишь код из SMS.
Одни блондинки вокруг((
Вот хорошее сравнение, параноикам есть из чего выбрать:
https://www.eff.org/secure-messaging-scorecard
https://www.eff.org/secure-messaging-scorecard
что то там tox'ов нет.
вроде была какая то движуха вокруг репозиториев, даже в вики есть об этом, а как с готовностью? году в 14 штоле здесь был про альфу пост.
вроде была какая то движуха вокруг репозиториев, даже в вики есть об этом, а как с готовностью? году в 14 штоле здесь был про альфу пост.
Работает, работает неплохо. Но людей внутри нет
Работает, народу прибывает (хотя сейчас наблюдается «сезонный спад»), РФ на первом месте по суточному количеству нод, появились русскоязычные чаты (бот Kalina), зарождается эра ботоводства (пока в зачаточной стадии, но попытки растут как грибы), народ с нетерпением ждет вливания кода групповых чатов в ядро.
+ i2p bote
куда уж защищеннее ;) но точно не для блондинок (хотя для запуска требуется очень мало телодвижений)
куда уж защищеннее ;) но точно не для блондинок (хотя для запуска требуется очень мало телодвижений)
Чем это отличается от гугла? Там сначала пароль, потом sms, а тут сначала sms потом пароль.
Тем что тут пароль необязательная часть и у большинства пользователей не стоит. В результате авторизация не 2х факторная, а однофакторная.
Причем авторизация только по смс менее безопасна чем даже простая классическая авторизация только по одному паролю.
Причем авторизация только по смс менее безопасна чем даже простая классическая авторизация только по одному паролю.
и у гугла СМС это механизм восстановления. Рекомендован всё таки authenticator.
В реальности это означает, что в одной большой северной стране все каналы общения, где аутентификация основана исключительно на СМС, не могут считаться безопасными по определению. Включая Whatsapp, Signal, Viber.
Извиняюсь за ошибку — в Signal можно использовать защиту паролем в дополнение к СМС, в Whatsapp и Viber такой опции я не нашел.
В SIgnal ключ генерируется на стороне клиента, при описанном сценарии злоумышленник получит смс и будет «выдавать» себя за вас. Вот только все оппоненты при попытке коммуникации с ним, будь то приватный, или групповой чат, получат ошибку отправления и сообщение о том что идентификатор изменился и, возможно, это больше не Петя Иванов. Вы должны сами решить и подтвердить. Причем если вы кликнули «ОК» в приватной беседе, это не перенимается автоматом на групповые чаты и наоборот.
Защита паролем только самого приложения и не влияет на кражу через смс.
В отличие от остальных, сигнал не разрешит существование нескольких аккаунтов и сообщения не будут «дублироваться» на телефон Пети Иванова и сотрудника заинтересованных служб.
Защита паролем только самого приложения и не влияет на кражу через смс.
В отличие от остальных, сигнал не разрешит существование нескольких аккаунтов и сообщения не будут «дублироваться» на телефон Пети Иванова и сотрудника заинтересованных служб.
Более того, для передачи используется уязвимый протокол который взламывается при наличии пары лишних Тб и не шибко дорого оборудования.
Какой из трех протоколов вы имеете ввиду: Whatsapp, Signal или Viber?
GSM. кто-то куда-то лезет, вам приходит SMSка её читают прямо из эфира и используют по назначению. конечно при этом надо находиться достаточно близко к вышке к которой подключена жертва.
Дополнение: в Signal защищается паролем только текущее устройство, ничто не мешает переустановить приложение на другое устройство при доступе к СМС. Доступа к истории звонков и сообщений не будет, но все равно плохо.
Вообще то в любой стране все каналы общения не могут считаться по определению безопасными. И можешь чувствовать себя в безопасности пока ты Неуловимый Джо.
Мне всегда казалось, что это общеизвестный факт после историй с мошенниками, которые легко получали новые симки.
Viber использует SMS только для активации первичного устройства. Все остальные устройства считается вторичными и привязываются к первичному только посредством сканирования QR кода в непосредственной видимости.
Если даже злоумышленникам удасться подменить SIM, перехватить SMS и сделать новую активацию первичного устройства, то:
1) изначально первичное устройство будет немедленно деактивировано
2) все вторичные устройства немедленно перейдут в режим ре-активации новым первичным устройством посредством сканирования QR кода
3) история на новое устройство восстановлена не будет, вайбер не хватит историю на серверах
4) все участники в существующих шифрованных группах немедленно получат уведомление, что первичное устройство участника было изменено, а 1to1 чаты помеченые как доверенные, перестанут быть таковыми
То есть пользы от всего этого злоумышленнику будет чрезвычайно мало.
Если даже злоумышленникам удасться подменить SIM, перехватить SMS и сделать новую активацию первичного устройства, то:
1) изначально первичное устройство будет немедленно деактивировано
2) все вторичные устройства немедленно перейдут в режим ре-активации новым первичным устройством посредством сканирования QR кода
3) история на новое устройство восстановлена не будет, вайбер не хватит историю на серверах
4) все участники в существующих шифрованных группах немедленно получат уведомление, что первичное устройство участника было изменено, а 1to1 чаты помеченые как доверенные, перестанут быть таковыми
То есть пользы от всего этого злоумышленнику будет чрезвычайно мало.
США?
Эта новость лишний раз подтверждает догму «Don't Roll Your Own Crypto». По моему мнению, самый безопасный мессенджер — это torchat, который полностью полагается на криптографию, предоставляемую тором. А все сообщения torchat удаляются при выходе из программы — очень разумная политика. По крайней мере, доступ к переписке не будет получен через смс.
Больше всего жаль, что доступ получили к аккаунту ФБК, а не чиновника какого-нибудь.
НЛО прилетело и опубликовало эту надпись здесь
Ну да, людоедские режимы перехватывают смски. Прогрессивные демократии прослушивают весь трафик. https://ru.wikipedia.org/wiki/PRISM_(программа_разведки)
Когда Гиктайм лезет в политическую пропаганду, это дурно пахнет.
Когда Гиктайм лезет в политическую пропаганду, это дурно пахнет.
В статье всего лишь процитировали слова Дурова, того самого, который добровольно отдал бизнес и уехал из этой страны.
Не делай вид, что не понимаешь. «Прогрессивные демократии» слушают трафик (с определенными ограничениями. Например, СМСки от моего провайдера до моего телефона юридически прослушать нельзя, практически они стираются через 30 минут без того, что на них смотрит человек или компьютер), но не меняют и не перехватывают его. Кроме того, «Прогрессивные демократии» в принципе не следят за оппозиционерами (на уровне вторжения в частную жизнь через отслеживания емайлов, смсок и т.д.) — это чревато тяжелыми последствиями. Никсон как-то попытался и получил импичмент. «Прогрессивные демократии» пытаются бороться с наркотрафиком и терроризмом, а достаточно редкие нарушения лишь подтверждают правило, в отличии от «людоедских режимов», единственная цель существования которых — удержание власти, и как следствие, борьба с оппозицией. В «прогрессивной демократии» взлом аккаунта социальной сети/мессенджера политического деятеля властями (без ордера) означал бы очень серьезные последствия для тех кто это сделал и тех, кто приказал это сделать.
Если бы условный Обама приказал следить за условным Трампом и ФБР начало бы отслеживать его переписку (емайлы и т.д.), то условному Обаме пришел бы импичмент, а его партия пролетела бы на выборах в соотношении 86% / 14%.
Если бы вы проследили все скандалы связанные с privacy, то увидели бы, что были или решение суда/ордер или перехватывалась открытая информация (которая пересылалась открытым текстом по тем или иным причинам). Последнее возможно из-за того, что переписка на почтовых открытках (а передача незашифрованного трафика в США приравнивается к почтовым открыткам) не защищена тайной переписки, шифрованный траффик приравнивается к письмо в конверте (есть тайна переписки). Таким образом прослушка внутреннего незашифрованного траффика формально разрешена, но вызывает большие скандалы и возражения и власти пытаются найти компромис.
Дальше, в США тайна электронной переписки распространятся на резидентов США (гражданство иметь не обязательно, достаточно легально находиться в США), поэтому зашифрованный заграничный трафик (из США за границу и в обратном направлении) может анализироваться властями (и вскрываться, если есть возможность). Незашифрованный трафик в этом случае может анализироваться без ограничений. Но провайдеры не обязаны помогать властям в расшифровке траффика (если нет решения суда).
Думаю, я понятно объяснил, как это работает в «прогрессивных демократиях».
Если бы условный Обама приказал следить за условным Трампом и ФБР начало бы отслеживать его переписку (емайлы и т.д.), то условному Обаме пришел бы импичмент, а его партия пролетела бы на выборах в соотношении 86% / 14%.
Если бы вы проследили все скандалы связанные с privacy, то увидели бы, что были или решение суда/ордер или перехватывалась открытая информация (которая пересылалась открытым текстом по тем или иным причинам). Последнее возможно из-за того, что переписка на почтовых открытках (а передача незашифрованного трафика в США приравнивается к почтовым открыткам) не защищена тайной переписки, шифрованный траффик приравнивается к письмо в конверте (есть тайна переписки). Таким образом прослушка внутреннего незашифрованного траффика формально разрешена, но вызывает большие скандалы и возражения и власти пытаются найти компромис.
Дальше, в США тайна электронной переписки распространятся на резидентов США (гражданство иметь не обязательно, достаточно легально находиться в США), поэтому зашифрованный заграничный трафик (из США за границу и в обратном направлении) может анализироваться властями (и вскрываться, если есть возможность). Незашифрованный трафик в этом случае может анализироваться без ограничений. Но провайдеры не обязаны помогать властям в расшифровке траффика (если нет решения суда).
Думаю, я понятно объяснил, как это работает в «прогрессивных демократиях».
Религиозному человеку бесполезно доказывать, что его бог не существует.
Даже ситуация со Сноуденом и пытками в Гуантанамо не разубедят его в его вере.
Даже ситуация со Сноуденом и пытками в Гуантанамо не разубедят его в его вере.
Ситуация со Сноуденом лишь подтверждает мои слова — власти пытаются отслеживать траффик, где можно (разрешено). Где нельзя — получают ордер и пытаются (не всегда успешно) им воспользоваться.
Гуантанамо — это не в тему. Честно говоря, судьба «несчастных» талибов меня мало беспокоит. У этих людей нет статуса военнопленных (они не были солдатами афганской армии при режиме талибов), по идее, в любой другой стране их бы расстреляли на законном основании в соответствии со всеми Женевскими конвенциями. Но этих «зеленых человечков» / «шахтеров» / «трактористов» не расстреляли, а содержат в относительно неплохих условиях, если сравнивать с афганскими-сирийскими-иракскими-иранскими тюрьмами.
Гуантанамо — это не в тему. Честно говоря, судьба «несчастных» талибов меня мало беспокоит. У этих людей нет статуса военнопленных (они не были солдатами афганской армии при режиме талибов), по идее, в любой другой стране их бы расстреляли на законном основании в соответствии со всеми Женевскими конвенциями. Но этих «зеленых человечков» / «шахтеров» / «трактористов» не расстреляли, а содержат в относительно неплохих условиях, если сравнивать с афганскими-сирийскими-иракскими-иранскими тюрьмами.
содержат в относительно неплохих условияхНемножко насилуют и пытают, а так да все в порядке…
Тут в Казани людей бутылкой от шампанского насилуют до смерти, в Сочи насиловали ломом, и т.п. Причем, это делается не для какой-то борьбы с террористами, а всего лишь для улучшения статистики.
А вы тут про то, что каких-то бедных талибов обижают, которые спокойно людям головы отрезают…
А вы тут про то, что каких-то бедных талибов обижают, которые спокойно людям головы отрезают…
Вы сравниваете преступление (Казань) и принятую «норму» (Гуантаномо). Первое это преступление, второе — это тоже преступление, но под благородной вывеской.
А вы тут про то, что каких-то бедных талибов обижают, которые спокойно людям головы отрезают…Не так давно, в исторической перспективе, эти талибы были лучшими друзьями, потому как резали правильные головы.
НЛО прилетело и опубликовало эту надпись здесь
Гуантанамо воспринимается в США как серьезная проблема. Причем и властью, и обществом.Даже больше, лауреат нобелевской премии мира (Ливия, Ирак, Афганистан), по совместительству президент, в своей предвыборной компании говорил, что закроет эту позорную страницу американской демократии и даже, что то пытался делать будучи уже избранным… а воз и ныне там. Её наверное инопланетяне содержат, раз власть и общество ничего не могут сделать. И сравнение с Казанью где было совершено уголовное преступление и Гуантаномо где это «норма» до сих пор, неуместно.
Бедолага, ты посиди с месяц в любом российском ИВС, ты будешь о Гуантанамо мечтать как о кущах небесных
Истинно верующему человеку всё что угодно подтверждает его слова. Прослушка, пытки — это всё лишь укрепляет его в его вере.
Простите, что вмешиваюсь, но при виде вашего ника не могу удержаться.
То есть, если у человека нет статуса военнопленного, по-вашему, его можно похищать и держать взаперти (не важно, в каких условиях)?
И вы серьезно считаете, что такое право есть у украинских «батальонов» по отношению к противоположной стороне? Ну да, именно к тем, кото вы так пренебрежительно называете «шахтерами»… я говорю, не буду уж молчать, об ополченцах.
Но ладно, а статус военнопленного кем присваивается? Ну вот перенесем это на Украину, простите. Типа, если члены «добровольческих батальонов» не убили ополченца, значит, его монжо считать пленным? А если убили — по вашей логике, без этого статуса можно делать с ними что угодно. Знаем мы, в каких «относительно неплохих» условиях их содержат.
Мда, наговорил я много… но не могу сдерживаться.
То есть, если у человека нет статуса военнопленного, по-вашему, его можно похищать и держать взаперти (не важно, в каких условиях)?
И вы серьезно считаете, что такое право есть у украинских «батальонов» по отношению к противоположной стороне? Ну да, именно к тем, кото вы так пренебрежительно называете «шахтерами»… я говорю, не буду уж молчать, об ополченцах.
Но ладно, а статус военнопленного кем присваивается? Ну вот перенесем это на Украину, простите. Типа, если члены «добровольческих батальонов» не убили ополченца, значит, его монжо считать пленным? А если убили — по вашей логике, без этого статуса можно делать с ними что угодно. Знаем мы, в каких «относительно неплохих» условиях их содержат.
Мда, наговорил я много… но не могу сдерживаться.
Ну, если мы говорим об условиях в Гуантанамо, то смертность там среди «шахтеров» и «трактористов» равна нулю, поэтому я бы не особенно тревожиться об условиях содержания.
Начет «украинских батальонов по отношению к противоположной стороне»: там все просто:
1. Если противоположная сторона — российские солдаты, то в случае взятия в плен они однозначно должны рассматриваться как военнопленные. Хотя о чем это я, ведь сам Национальный Лидер сказал, что ихтамнет.
2. Если противоположная сторона — граждане Украины (безусловно, там такие есть) — то согласно действующему законодательству Украины (думаю, до 15 лет за терроризм и убийства светит ребятам, но я не гражданин Украины, не хочу вводить в заблуждение).
3. Если противоположная сторона — «шактеры» и «трактористы», «купившие оружие в военторге» ( т.е. не граждане Украины и не военнослужащие российской армии. Но ведь российских войск на Донбасе ихтамнет, правда?), то должен вас огорчить — согласно всем конвенциям их можно расстреливать на месте. Если не расстреляли на месте, то нужно гарантировать жизнь до суда (если будет), расстреливать без суда нельзя. Но можно держать взаперти вплоть до окончания войны и подписания мирного договора (или до суда и приговора. Приговором в теории может быть расстрел, но на Украине нет смертной казни). Кстати, «держать взаперти» до окончания войны можно и первую категорию. Вторую категорию — нельзя. Их наду сразусудить как гражданских лиц.
Вот так, даже если это вам не нравится. Есть Женевская Конвенция, есть международные договоры, есть Красный Крест и, к чьему-то сожалению, «шахтеры и трактористы» (С) не подпадают под защиту этих договоров и конвенций. Причем это относится к афганским «шахтерам», «шахтерам» (т.е. не гражданам Сирии и Ирака) ИГИЛа (запрещенной в России террористической организации) и, естественно, «шахтерам и трактористам» на Донбасе.
Говорю это как бывший военнослужащий израильской армии, которая достаточно скрупулезно (даже слишком скрупулезно) придерживается всех возможных и невозможных конвенций — за убийство обезвреженного террориста (т.е. «шахтера-тракториста») военнослужащему могут дать приличный срок (были случаи).
В очень сжатой форме, о правилах обращения слюдоедами «шахтерами и трактористами» рассказывает эта, по-видимому, правдивая, история:
Начет «украинских батальонов по отношению к противоположной стороне»: там все просто:
1. Если противоположная сторона — российские солдаты, то в случае взятия в плен они однозначно должны рассматриваться как военнопленные. Хотя о чем это я, ведь сам Национальный Лидер сказал, что ихтамнет.
2. Если противоположная сторона — граждане Украины (безусловно, там такие есть) — то согласно действующему законодательству Украины (думаю, до 15 лет за терроризм и убийства светит ребятам, но я не гражданин Украины, не хочу вводить в заблуждение).
3. Если противоположная сторона — «шактеры» и «трактористы», «купившие оружие в военторге» ( т.е. не граждане Украины и не военнослужащие российской армии. Но ведь российских войск на Донбасе ихтамнет, правда?), то должен вас огорчить — согласно всем конвенциям их можно расстреливать на месте. Если не расстреляли на месте, то нужно гарантировать жизнь до суда (если будет), расстреливать без суда нельзя. Но можно держать взаперти вплоть до окончания войны и подписания мирного договора (или до суда и приговора. Приговором в теории может быть расстрел, но на Украине нет смертной казни). Кстати, «держать взаперти» до окончания войны можно и первую категорию. Вторую категорию — нельзя. Их наду сразусудить как гражданских лиц.
Вот так, даже если это вам не нравится. Есть Женевская Конвенция, есть международные договоры, есть Красный Крест и, к чьему-то сожалению, «шахтеры и трактористы» (С) не подпадают под защиту этих договоров и конвенций. Причем это относится к афганским «шахтерам», «шахтерам» (т.е. не гражданам Сирии и Ирака) ИГИЛа (запрещенной в России террористической организации) и, естественно, «шахтерам и трактористам» на Донбасе.
Говорю это как бывший военнослужащий израильской армии, которая достаточно скрупулезно (даже слишком скрупулезно) придерживается всех возможных и невозможных конвенций — за убийство обезвреженного террориста (т.е. «шахтера-тракториста») военнослужащему могут дать приличный срок (были случаи).
В очень сжатой форме, о правилах обращения с
30 лет назад, когда начальником Генштаба Израиля был легендарный Рафаэль «Рафуль» Эйтан, на Голаны прорвалась группа террористов. Срочно прибывшая рота спецназа уничтожила всех. Вдогонку приехал Рафуль, и кто-то с возмущением рассказал ему, что двоих террористов уничтожили уже после того, как они подняли руки.
Рафуль был в бешенстве и наорал на командира роты. Основная претензия звучала так:
– Почему у них оставалось время поднять руки?!
Простите, что вмешиваюсь, но при виде вашего ника не могу удержаться.
Ха, только сейчас понял.
Насчет моего ника — посмотрите когда зарегистрирован мой аккаунт и вспомните когда начались известные события. Разница — около четырех лет. Поэтому, ваша вводная фраза не в тему.
У этих людей нет статуса военнопленных (они не были солдатами афганской армии при режиме талибов), по идее, в любой другой стране их бы расстреляли на законном основании в соответствии со всеми Женевскими конвенциями.Т.е. гражданин страны взявший в руки оружие и выступивший против иностранных войск на своей территории, которая находится в состоянии гражданской войны, подлежит расстрелу o_O. Или, как по вашему, «гуманно» изолирован на военной базе, находящейся за полконтинента, без каких либо прав, т.к. не подпадает ни под какие конвенции и юрисдикции, т.к. формально Гуантаномо не территория США, что тоже «веслый» казус. Прекрасный, чудный мир, прогрессивный и демократичный!
Вы уж определитесь — разделяете ли вы ценности западной цивилизации — гуманизм, права человека, прайваси или для «людей второго сорта» это не распространяется.
Все Божья роса… он даже прослушку воспринимает как само собой разумеющееся, т.к. не зашифровано, а значит можно и нужно.
Ага… А ещё эти «демократии» настолько прогрессивны, что прослушивают телефоны лидеров союзников по НАТО…
А ещё — принимают законы, разрешающие взламывать кого угодно за границей. (У себя-то это уже давно норма — людей даже в тюрьмах держат ТОЛЬКО за то, что они нижнее бельё предъявлять отказываются geektimes.ru/post/275200) Конечно, за прослушку Трампа — импичмент, а за Меркель, Берусеони и т.д. — орден. Это же демократия. Безо всяких 2,3,4...-стандартов.
То, что Вы ненавидите «кровавый режим ГБ-шников» не делает противостоящий ему заокеанский нежным и пушистым.
Кстати, «гбшный» режим — мне тоже как-то не очень.., как и перехват смс. Но и петь дифирамбы, прослезившись, при взгляде на звёздно-полосатый — не тянет. До маразма пока не дожил, а юношеский нигилизм ко всему домашнему без разбора — уже прошёл.
А ещё — принимают законы, разрешающие взламывать кого угодно за границей. (У себя-то это уже давно норма — людей даже в тюрьмах держат ТОЛЬКО за то, что они нижнее бельё предъявлять отказываются geektimes.ru/post/275200) Конечно, за прослушку Трампа — импичмент, а за Меркель, Берусеони и т.д. — орден. Это же демократия. Безо всяких 2,3,4...-стандартов.
То, что Вы ненавидите «кровавый режим ГБ-шников» не делает противостоящий ему заокеанский нежным и пушистым.
Кстати, «гбшный» режим — мне тоже как-то не очень.., как и перехват смс. Но и петь дифирамбы, прослезившись, при взгляде на звёздно-полосатый — не тянет. До маразма пока не дожил, а юношеский нигилизм ко всему домашнему без разбора — уже прошёл.
Кстати, а кто сказал, что всё описанное в сабже безобразие делалось без ордера?
Весь ваш поток сердечек в адрес «прогрессивной демократии» строится на том, что «у них» это делается по закону — а у нас — как-то не так… А вдруг — это по закону было? (если вообще что-то было) Всё — разрыв шаблона?
И ещё, к слову.
Забавные порядки и здесь в местном «демократическом сообществе». Стоит только высказать мысли, идущие вразрезс основной модной «демократической» струей (диванное диссидентство, ортодоксальный опенсорс, винда мастдай и т.п...) — получаешь минус в карму.
Не минус посту, как выражение несогласия с высказыванием, а именно в карму, как наказание за отличие в мышлении. И делают это именно люди, с пеной у рта разглагольствующие об идеалах открытости и демократии.
Чем руководствуются? «А потому что могу» (с)
И заметка администрации.
Не стоит ли ввести практику обязательного и содержательного комментирования оценок в карму?
И при несодержательности или неадекватности комментария своих действуй — минусовать именно «оценщика».
Мне кажется общее качество системы оценок только выиграло бы за счёт, быть может, снижения количества, но повышения качества.
Весь ваш поток сердечек в адрес «прогрессивной демократии» строится на том, что «у них» это делается по закону — а у нас — как-то не так… А вдруг — это по закону было? (если вообще что-то было) Всё — разрыв шаблона?
И ещё, к слову.
Забавные порядки и здесь в местном «демократическом сообществе». Стоит только высказать мысли, идущие вразрезс основной модной «демократической» струей (диванное диссидентство, ортодоксальный опенсорс, винда мастдай и т.п...) — получаешь минус в карму.
Не минус посту, как выражение несогласия с высказыванием, а именно в карму, как наказание за отличие в мышлении. И делают это именно люди, с пеной у рта разглагольствующие об идеалах открытости и демократии.
Чем руководствуются? «А потому что могу» (с)
И заметка администрации.
Не стоит ли ввести практику обязательного и содержательного комментирования оценок в карму?
И при несодержательности или неадекватности комментария своих действуй — минусовать именно «оценщика».
Мне кажется общее качество системы оценок только выиграло бы за счёт, быть может, снижения количества, но повышения качества.
Забавные порядки и здесь в местном «демократическом сообществе». Стоит только высказать мысли, идущие вразрезс основной модной «демократической» струей
Коллега! Это вы еще не тронули Маска, электромобили и зеленую энергетику… прилетает сразу в карму, если есть малейший намек на отступление от «генеральной линии»… проверено.
Если есть много народа, если критика какой-то вещи превращается в минусы в карму, разве сложно увидеть в этом узкое место своего собственного подхода? Может быть нужно просто менять тактику и пользоваться политтехнологиями (в английском есть привлекательное выражение для этого: public relations, PR, так же известное как «пиар»), а не просто озвучиванием собственного «фу» с помощью первых попавшихся слов?
Вы же сами обнаружили, что часто встречается фактор массового сознания и солидарности по какому-то вопросу (читай как: «в некоторых вопросах люди ведут себя как стадо»). Этот фактор — закон природы, а не проблема. Он есть. Если нужно продвигать идеи, нужно иметь ввиду, что он есть. Вместо того, чтобы доставлять дискомфорт отдельным представителям сообщества, заагривая их окружение на защиту, нужно изучать сообщество и понимать, каким способом оно кормится, чтобы тот же самый способ использовать для скармливания собственных идей.
Если взять аналогию с какашкой, то не очень круто насмехаться над человеком, показывая пальцем, что он держит в руках дерьмо. Это спровоцирует его негативную реакцию, а ему на помощь обязательно появится кто-нибудь с похожими взглядами на проблему. Они, с их позиции, будут бороться не с тем, чтобы доказать, что они не держат какашку. Они будут бороться с противником, который доставляет им дискомфорт. В этой ситуации всё сведётся к личностям, и вы будете тратить всю жизнь на то, чтобы бороться с людьми по личным вопросам.
Вместо этого нужно доносить идею, что, мол, есть «какашка v.2.0». Она может содержать внутри радикально другие идеи, но очень важно показать людям, что она очень похожа на «какашку v.1.0.0.5.0.0», но только гораздо гламурнее, моднее и приятнее на вкус. Нужно рекламировать её так, чтобы владельцы первой версии сами, по-тихому, начали от неё избавляться, чтобы не выглядеть в глазах окружающих ретроградами.
Опять же, я повторюсь. Стадный инстинкт — это аксиома. Обвинять людей в том, что у них есть стадный инстинкт — не конструктивно. Это не изменит ровным счётом ничего. Нужно использовать его как инструмент, а не как стенку, о которую можно время от времени побиться.
Вы же сами обнаружили, что часто встречается фактор массового сознания и солидарности по какому-то вопросу (читай как: «в некоторых вопросах люди ведут себя как стадо»). Этот фактор — закон природы, а не проблема. Он есть. Если нужно продвигать идеи, нужно иметь ввиду, что он есть. Вместо того, чтобы доставлять дискомфорт отдельным представителям сообщества, заагривая их окружение на защиту, нужно изучать сообщество и понимать, каким способом оно кормится, чтобы тот же самый способ использовать для скармливания собственных идей.
Если взять аналогию с какашкой, то не очень круто насмехаться над человеком, показывая пальцем, что он держит в руках дерьмо. Это спровоцирует его негативную реакцию, а ему на помощь обязательно появится кто-нибудь с похожими взглядами на проблему. Они, с их позиции, будут бороться не с тем, чтобы доказать, что они не держат какашку. Они будут бороться с противником, который доставляет им дискомфорт. В этой ситуации всё сведётся к личностям, и вы будете тратить всю жизнь на то, чтобы бороться с людьми по личным вопросам.
Вместо этого нужно доносить идею, что, мол, есть «какашка v.2.0». Она может содержать внутри радикально другие идеи, но очень важно показать людям, что она очень похожа на «какашку v.1.0.0.5.0.0», но только гораздо гламурнее, моднее и приятнее на вкус. Нужно рекламировать её так, чтобы владельцы первой версии сами, по-тихому, начали от неё избавляться, чтобы не выглядеть в глазах окружающих ретроградами.
Опять же, я повторюсь. Стадный инстинкт — это аксиома. Обвинять людей в том, что у них есть стадный инстинкт — не конструктивно. Это не изменит ровным счётом ничего. Нужно использовать его как инструмент, а не как стенку, о которую можно время от времени побиться.
Всё правильно. Но дело в том, что это сообщество позиционирует себя, как высокоинтеллектуальное, толерантное, свободное от ханжества и предрассудков. Соответствующей реакции я и ожидаю, вступая в какие-то дискуссии. Всё время забываю, что «люди» мы лишь на 5%, а на остальные 95 — животные. Потому и реакция, как у стаи (или стада — в зависимости от убеждений травоядное человек или хищник)…
На самом деле, как уже не раз в подобных обсуждениях упоминалось, нормальных людей большинство.., но им нет нужды самоутверждаться, залезая кому-то в профиль и производя какие-то действия… Они прочитают, согласятся-не согласятся, и дальше пойдут. А вот любители самоутвердиться бросками дерьма — это ж счастье для них — возможность кому-то нагадить. Да ещё и лозунги модные распевая.
Но оглядываться на стадо — я не вижу смысла. Я рассчитываю на нормальных людей. Концентрация коих тут — всё же сильно выше, чем в среднем по больнице. Даже если с данной конкретной мыслью многие не согласятся. В том и заключается истинная толерантность и свобода мысли.
На самом деле, как уже не раз в подобных обсуждениях упоминалось, нормальных людей большинство.., но им нет нужды самоутверждаться, залезая кому-то в профиль и производя какие-то действия… Они прочитают, согласятся-не согласятся, и дальше пойдут. А вот любители самоутвердиться бросками дерьма — это ж счастье для них — возможность кому-то нагадить. Да ещё и лозунги модные распевая.
Но оглядываться на стадо — я не вижу смысла. Я рассчитываю на нормальных людей. Концентрация коих тут — всё же сильно выше, чем в среднем по больнице. Даже если с данной конкретной мыслью многие не согласятся. В том и заключается истинная толерантность и свобода мысли.
В целом, совершенно согласен. Но есть нюанс. К тому моменту, когда вы всё-таки сможете объяснить, что «какашка v.2.0 очень похожа на какашку v.1.0.0.5.0.0» придётся менять аккаунт. С другой стороны, не могу сказать, что я не знал, на что иду, пытаясь показывать эту схожесть. Выбор таков, либо пишите статьи, за которые всегда будете в плюсе, или при отсутствии оных — катитесь в забвение, ибо это есть политика администрации ресурса.
А ещё у них негров линчуют, да-да
Нигде в статье не говорится, что это как-то отличается от США. Тот факт, что в штатах что-то плохо — это не оправдание для того, чтобы плохо было в России. Даже в гипотетическом мире, где все страны, кроме России, периодически читают СМС оппозиции, воруют их аккаунты, и садят братьев оппозиционеров в тюрьмы, нормальный человек отнесется к описанному в топике отрицательно. Ненормальный будет сравнивать с тем, как в «прогрессивной демократии».
Использование штампов «людоедские/кровавые режимы», «развитые демократии», используют только для пиара, чёрного или белого пиара.
В данном случае пиар телеграмма, на тему истерии вокруг безопасности, а был ли взлом или это только такая возможность взлома, кто его знает.
В данном случае пиар телеграмма, на тему истерии вокруг безопасности, а был ли взлом или это только такая возможность взлома, кто его знает.
Перехват СМС — люди вспомнили статью 2014 года
https://habrahabr.ru/company/pt/blog/226977/
Проверка на раскрытие частной СМС-переписки. Данная атака является следствием атаки номер 3. В случае успешной атаки входящие СМС начинают приходить на оборудование злоумышленника, прочитать их не составит труда. Чтобы СМС не была доставлена получателю впоследствии, в СМС-центр отправляется уведомление о получении.
Но там о внедрении в чужую инфраструктуру сотовой сети.
https://habrahabr.ru/company/pt/blog/226977/
Проверка на раскрытие частной СМС-переписки. Данная атака является следствием атаки номер 3. В случае успешной атаки входящие СМС начинают приходить на оборудование злоумышленника, прочитать их не составит труда. Чтобы СМС не была доставлена получателю впоследствии, в СМС-центр отправляется уведомление о получении.
Но там о внедрении в чужую инфраструктуру сотовой сети.
Липовая базовая станция с отключенным шифрованием давно доступна не только спецслужбам.
Просто это еще не стало мэйнстримом.
Просто это еще не стало мэйнстримом.
Я как раз думал на днях, как отказаться от колхозных смс. Удалить номер центра самый простой вариант. Обилие мессенджеров меня раздражает, коим смс по сути является. Но в итоге все равно есть проблема: смс до сих пор пользуются многие верификационные сервисы.
Перехват входящих SMS в GSM сетях сейчас не составляет особых проблем, даже не спецслужбам. Активный перехват (как раз который был в случае с Козловским) можно производить находясь на значительном удалении, главное находиться в той же Location Area что и же и жертва. В целом по железу можно уложиться в 1.5к $ (SDR + Комп c rainbow tables + телефон c baseband Calypso ) ну и необходимо понимание что происходит.
Смысл взлома, если спалился, telegram не пользуюсь, не знаю можно ли видеть историю переписки с нового авторизованного устройства. Какое значение для спецслужб имеют эти два человека. Здесь проскакивали статьи про портативные базовые станции и sms/gsm/fakesim. Операторов можно прижать везде, вопрос можно ли потом идти с этим в суд. Если суд дал разрешение, какие вопросы. ЧСВ и ФГМ.
вопрос можно ли потом идти с этим в суд
Пф… Тут уже агент ЦРУ Freedom, ходил в суд, после того как его разоблачили на центральных каналах. Пошел выяснять почему его до сих пор не арестовали, но суд сказал, что это его не касается :)
Это единственный контраргумент?
Не единственный, судов уже множество было, все суды которые против властей подавались, тупо даже не регистрировались (причем подавали одно и тоже дело в десяток судов). А в единственном случае когда суд умудлился просто зарегистрировать дело против самого нацлидера — судью уже уволили. Вот и обращайтесь в наш суд.
Какое значение для спецслужб имеют эти два человека.
Ну вы посмотрите, что это за люди.
Посмотрел. Их ценность для спецслужб вообще исчезла.
Почему вы так решили?
А смысл?? Для чего это делается? Что можно сделать с идейным человеком, даже если знать его переписку, какой компромат может быть в этой переписке? Вы безусловно верите словам одного человека. подчеркну — словам? И безусловно уверены, что так и есть? Я не утверждаю, что такого не может быть. Для меня не ясны несколько моментов, откуда известно точное время отключения и включения сервиса и почему нет в этот промежуток звонка оператору с соответствующим вопросом. Кто с 2:25 до 4:55 это мониторит и как. Что мешает моей жене поинтересоваться — А с кем это он там в telegram переписывается? — доступ к телефону есть, почему кто-то по моей просьбе не может имитировать подобную ситуацию, благо можно обвинить людей в черном. Вопросов больше, чем фактов, отсюда и такое мнение. Еще раз, я не утверждаю, что такого не может быть, очень может, но именно в этом случае очень не уверен.
Уж что бы там не говорили, но на лицо — факт незаконного посягательство на личную территорию. В данном случае это — аккаунт Телеграмм. Как не глупо это звучит, но он — собственность владельца. Как и телефонный номер. Касательно забора информации с последнего, то это уже вообще попадает под несколько статей. Во-первых, незаконное внедрение в работу компьютерной системы (хакерство, простым языком), во-вторых, использование информации, полученной незаконным путем, с выгодой для себя. Это ведь можно и так трактовать. Проще говоря, я бы советовал автору обращаться в международные инстанции, юрисдикция которых поддерживается законодательством РФ. Кстати, а такие существуют? (ну это уже просто сарказм, не более того) Я бы это просто так не оставлял. Понимаю, что может получится бой с тенью, однако. А вот Дурову не помешает продумать лучше систему авторизации. Почему бы, к примеру, не заставить использовать какой-нить шифрованный ключ, который генерируется системой и хранится только у пользователя. И чтобы войти в аккаунт на неизвестно машине — нужно предоставить тот самый файл. Нечто схожее работает в WebMoney, но в более примитивной форме. СМС, которые раньше считались лучшим вариантом для подтверждения персоны — получился полностью дырявым методом. Может и снизиться удобность работы мессенджера, но, как по мне, важней именно выполнение прямой функции.
Телефонный номер — собственность абонента??.. :)
Пожалуйста, не вводите людей в заблуждение. Телефонный номер арендуется абонентом на время действия договора с оператором связи.
Что же до «незаконного посягательства», так тут уже упоминали возможное наличие судебного ордера у «соответствующих органов». И потом, согласно действующему законодательству РФ, в определённых случаях некоторые действия могут быть произведены и без получения ордера.
«В интересах следствия», так сказать. :)
Так что о «незаконности» говорить, на мой взгляд, пока что рано.
Пожалуйста, не вводите людей в заблуждение. Телефонный номер арендуется абонентом на время действия договора с оператором связи.
Что же до «незаконного посягательства», так тут уже упоминали возможное наличие судебного ордера у «соответствующих органов». И потом, согласно действующему законодательству РФ, в определённых случаях некоторые действия могут быть произведены и без получения ордера.
«В интересах следствия», так сказать. :)
Так что о «незаконности» говорить, на мой взгляд, пока что рано.
Хотел сначала пошутить про новое дело о картонке с забора, но задумался.
Вы только оцените какое движение в сторону гуманизма. Если раньше к тебе в 7 утра вламывалась опер. группа, по твоему жилью сновали «следователи» без документов, «журналисты» сомнительных изданий и под видом обыска разбойным образом похищали твои телефоны/компьютеры, чтобы получить доступ к нужным сервисам, то сейчас задача решается практически без твоего участия. Быстро и минимум неудобств.
Вы только оцените какое движение в сторону гуманизма. Если раньше к тебе в 7 утра вламывалась опер. группа, по твоему жилью сновали «следователи» без документов, «журналисты» сомнительных изданий и под видом обыска разбойным образом похищали твои телефоны/компьютеры, чтобы получить доступ к нужным сервисам, то сейчас задача решается практически без твоего участия. Быстро и минимум неудобств.
НЛО прилетело и опубликовало эту надпись здесь
Почему при запросе кода не генерироваться ещё один пароль и передавать его по https вместе с введённым кодом?
Самое интересное, что у проблемы СМС аутентификации в условиях перехвата сообщений необъяснимого сбоя в МТС, есть решение: можно воспользоваться одним из нескольких сервисов виртуальных номеров (в надежной юрисдикции), позволяющих принимать текстовые сообщения. Регистрируется номер, смски переводятся на условный Gmail (SSL и все такое). «Необъяснимому сбою в МТС» придется, во-первых, понять, кому принадлежит виртуальный номер (что не всегда легко определить, если номер в нормальной юрисдикции без кооперации с этой юрисдикцией), а во-вторых, попытаться взломать SSL encryption, что на сегодняшний день не под силу этому самому «Необъяснимому сбою в МТС» — тупо не хватает вычислительных мощностей.
Второй вариант — держать настоящую симку в «надежной юрисдикции» у друга-товарища-брата и получать смс подтверждения через другие каналы в той или иной форме (например, через TorChat или email + GPG). При желании процедуру можно автоматизировать. Собственно говоря, сегодня я уже приготовил две сим-карты " по просьбам трудящихся".
Второй вариант — держать настоящую симку в «надежной юрисдикции» у друга-товарища-брата и получать смс подтверждения через другие каналы в той или иной форме (например, через TorChat или email + GPG). При желании процедуру можно автоматизировать. Собственно говоря, сегодня я уже приготовил две сим-карты " по просьбам трудящихся".
Простите мой скептицизм, но это что-то из серии «никогда такого не было и вот опять».
Многие осведомлены, даже самими банками, что СМС-канал не является ни 100% надежным, ни 100% защищенным.
В истории whatsapp тоже были случаи похожие давно, у банков тоже воровали OTP, честно говоря, чем эта история отличается-то? Никто же давно не воспринимает угон авто с пмощью кодграббера как новость мирового масштаба?
Все выглядит как очередно пиарчик telegram, после того как WA включил шифрование.
В настоящих защищенных мессенджерах СМС канал не используется априори. А для казуальных — есть WA.
Многие осведомлены, даже самими банками, что СМС-канал не является ни 100% надежным, ни 100% защищенным.
В истории whatsapp тоже были случаи похожие давно, у банков тоже воровали OTP, честно говоря, чем эта история отличается-то? Никто же давно не воспринимает угон авто с пмощью кодграббера как новость мирового масштаба?
Все выглядит как очередно пиарчик telegram, после того как WA включил шифрование.
В настоящих защищенных мессенджерах СМС канал не используется априори. А для казуальных — есть WA.
Разница, насколько я понимаю, в том, что теперь сотовый оператор — возможно — сам руку приложил. Зачем-то же был отключён SMS-сервис на операторской стороне как раз в нужный период.
Проблема в том, что Telegram навязывает пользователям способ аутентификации через получение SMS.
Есть такая проблема, и не у них одних. У них есть и двухфакторная (пароль на сервере + SMS), но, понятно, хотелось бы больше вариантов, а для полного счастья — без привязки к номеру. Но речь была не о том — просто Gordon01 выразился в том смысле, что перехват SMS вообще не новость, передаётся открытым текстом, угоняли раньше и угонять будут, и прочая, и прочая… Это и сподвигло меня ответить что, хоть я и не спорю что авторизация по SMS — это, конечно, позор джунглям и попрание основ, но повод для заметки так-таки есть, поскольку тут верблюда увели не в одно криминальное рыло, а с ведома и при поддержке оператора связи — что есть нахальство и отдельная проблема. Проблему с аутенфикацией это, конечно, только обостряет.
Друзья, а вот mishutka_ua очень интересный вопрос задал: какой смысл от взлома, когда вся переписка храниться у клиента. Т е. взломали ночью — чатов нет, утром увидел — отключился. Что взломщик из этой статьи получил?
Несекретные чаты сохраняют историю на серверах, чтобы юзер имел доступ к ней и с компа и с мобилы.
Что имеет взломщик? — ну например имеем двух опозиционеров (несогласны/ненужных), взломав и отправив сообщение от одного к другому договоритсмя о месте встречи, где второго будут ждать для «беседы». В случае «фатального» исхода «беседы» можно задержать первого по подозрению, так как место встречи он назначил «со своего» аккаунта.
Что имеет взломщик?
А вы не думали, зачем они получили доступ на время, а потом вернули? Они просто выкачали всю переписку, а сейчас спокойно и не спеша её читают. Что может быть интересного в переписке двух политиков, ведущих активную оппозиционную деятельность? Вы даже не представляете. Это как слить переписку верхушки вражеской страны во время войны. Планы, люди, цифры, контакты. За это могут дать десятки миллионов (и, возможно, дали).
Ага, вот только человек еще до рассвета обнаружил, что в аккаунт входили и поднял шум. Какова в этом случае вероятность встречи? Зачем отключать полностью сервис смс, если можно перехватить только то, что нужно. Вы серьезно уверены, что так топорно работают люди в черном? Мне вообще нет дела до этого, я из другой страны. Просто привык задавать себе вопросы.
Ну так я как бы намекал что вероятность встречи отправителя и получателя минимальна, «отправитель» сообщения даже не будет в вкурсе что он отправлял, и вместо него придут на встречу с получателем придут совсем другие люди.
По поводу второй части — «зачем отключать, если можно перехватить» то тут как раз то что нужно — если не отключить то коды авторизации получит и истиный владелец и может заподозрить что то неладное — как бы он сам никаких кодов авторизации не запрашивал, а ему ночью кто то ломится на акаунт.
По поводу второй части — «зачем отключать, если можно перехватить» то тут как раз то что нужно — если не отключить то коды авторизации получит и истиный владелец и может заподозрить что то неладное — как бы он сам никаких кодов авторизации не запрашивал, а ему ночью кто то ломится на акаунт.
Если вы занимаетесь такими делами, что вами интересуются спецслужбы, то сумма в месяц требуемая для оплаты сервиса выделенного виртуального номера для приёма смс в другой стране для вас не будет проблемой, да и вообще например в Англии такие услуги копейки стоят.
вот как раз в Англии такие услуги страшно покупать
Вы не подскажете такой сервис проверенный зарубежный, из наших знаю только задарма, им пользуюсь, но хочется иностранный, вроде ничем незаконным или оппозиционным не занимаюсь, но лучше перестрахуюсь.
Спасибо.
Спасибо.
Я бы сказал, что вам просто нужно выехать в любую другую страну и взять там любую симкарту. Потом просто не забывайте вставлять её в телефон, пополнять баланс и делать какие-нибудь платные действия.
Спасибо большое, но мне всё же хочется виртуальный номер с возможностью получения смс, звонков и в другой стране, так как с такой симкой в роуминге " России" моё смс всё равно может быть перехвачено.
Я бы не рекомендовал виртуальный номер. Его очень легко могут заблокировать, забрать, отменить и т.д.
И не думаю, что сотовый будет пытаться перехватить ваши СМС в роуминге.
Вообще ситуация, описанная в верху поста, не случилась, если бы жертвы были более осмотрительны в выборе мобильного оператора. Имхо, МТС — это самый проправительственный оператор из большой тройки. Скажем, если остальные предоставят информацию "по звонку", то эти сами позвонят в органы и спросят "не предоставить ли вам какую-нибудь информацию?". Очень недальновидно пользоваться услугами именно этого сотового оператора, являясь активным оппозиционным политиком.
anveo.com (пожалуй, самый надежный и лучший)
pinger.com
talkatone.com
GoogleVoice (если сможете зарегистрироваться, находясь вне США. Нужен прокси).
Имейте ввиду — Whatsapp с этими сервисами не работает (говорит, что не мобильный номер), Viber — работает. Телеграм — не пробовал. Если кому-то надо — могу попробовать (anveo стоит небольшие деньги, но если кому-то действительно необходимо, то проверю. Pinger и GoogleVoice — бесплатные).
Настоящая сим-карта — от американского-британского провайдера Lycamobile. Нет ежемесячной оплаты. Можно от T-Mobile, но стоит 3 доллара в месяц.
pinger.com
talkatone.com
GoogleVoice (если сможете зарегистрироваться, находясь вне США. Нужен прокси).
Имейте ввиду — Whatsapp с этими сервисами не работает (говорит, что не мобильный номер), Viber — работает. Телеграм — не пробовал. Если кому-то надо — могу попробовать (anveo стоит небольшие деньги, но если кому-то действительно необходимо, то проверю. Pinger и GoogleVoice — бесплатные).
Настоящая сим-карта — от американского-британского провайдера Lycamobile. Нет ежемесячной оплаты. Можно от T-Mobile, но стоит 3 доллара в месяц.
Хорошие советы. +1 к Google Voice, т.к. там без абонентской платы. Единственная проблема собственно с получением номера гугла, для этого потребуется реальный американский мобильный номер.
Тут два варианта
1) попросить знакомого временно ответить на подтверждающий звонок от гугла, потом отвязать его номер и получить новый от гугла
2) купить какой-нибудь T-Mobile (можно через ebay или какой-нибудь форвардинг даже с доставкой в РФ) и перенести через MNP в Гугл, где-то ~$30-40 стоить будет разово. Не уверен, но возможно это решит проблему сервисов, которые ругаются, что номер не мобильный.
Проблема физических симок в том, что за ними надо постоянно следить (пополнять счёт или производить расходные операции, чтоб номер не стал неактивным), что очень неудобно. В Google Voice все смски приходят прямо на приложение на смартфоне (или можно на эл. почту настроить).
Тут два варианта
1) попросить знакомого временно ответить на подтверждающий звонок от гугла, потом отвязать его номер и получить новый от гугла
2) купить какой-нибудь T-Mobile (можно через ebay или какой-нибудь форвардинг даже с доставкой в РФ) и перенести через MNP в Гугл, где-то ~$30-40 стоить будет разово. Не уверен, но возможно это решит проблему сервисов, которые ругаются, что номер не мобильный.
Проблема физических симок в том, что за ними надо постоянно следить (пополнять счёт или производить расходные операции, чтоб номер не стал неактивным), что очень неудобно. В Google Voice все смски приходят прямо на приложение на смартфоне (или можно на эл. почту настроить).
В личке.
А не может быть всё намного проще, чем подключение спец. служб, спец. оборудования. Достаточно же подобрать часто 4-ёх значный пароль к интернет помощнику и включить sms переадресацию в составе пакета sms.pro
Предложение Дурову: внедрить отправку подтверждения через смс на другой номер. То есть, аккаунт Телеграм привязан к номеру ААА, при авторизации на него падает фейковое смс с левым пином. При этом на другой номер ВВВ, который указал пользователь в качестве резервного, падает смс с реальным пином. Задача пользователя — не дать связать второй номер со своей персоной.
НЛО прилетело и опубликовало эту надпись здесь
Зачем лишние телодвижения? Почему бы сразу не зарегистрировать в качестве основного номера, телефон не связанный со своей персоной?
Вообще не понимаю современную манию всюду требовать номер телефона. Не могу представить менее защищенный способ авторизации и идентификации, разве что почтовыми голубями или курьерами-глашатаями. Снаружи конечно «красиво» и «удобно», а на деле кроме того что любой «стандартный» трафик через телефон, будь то звонок или СМС, подвержен десяткам различных уязвимостей, от спецслужб до соц-инженерии в салоне связи, телефонные номера легко (и порой незаметно) теряются, передаются другим абонентам, отключаются по велению левой пятки оператора.
Личный пример — у меня пять лет номер, и все пять лет (Карл!) с разной периодичностью мне звонят спрашивают Свету, то ее клиенты, то местная прокуратура, Света промышляла контрабандой из России — лекарства, сигареты итд, обычное дело для граничащих с Россией областей, и я сомневаюсь что разному тупому софту или сервису можно будет так-же легко объяснить «не звоните сюда больше».
ИМХО что поможет телеграмму — отвязать аккаунты от номеров и добавить больше вариантов авторизации — по паролю, пароль+емеил, пароль+смс, софт-токен, физический токен, классическое смс (для самозлобных буратин). Аналогично и с регистрацией, может где-то телефонный номер это уникально и валидно, но я могу придти в киоск и сказать «дайте мне полкило вон тех синеньких симок» (что я и сделал когда регистрировался в телеге), емеил порой сложнее зарегистрировать.
Личный пример — у меня пять лет номер, и все пять лет (Карл!) с разной периодичностью мне звонят спрашивают Свету, то ее клиенты, то местная прокуратура, Света промышляла контрабандой из России — лекарства, сигареты итд, обычное дело для граничащих с Россией областей, и я сомневаюсь что разному тупому софту или сервису можно будет так-же легко объяснить «не звоните сюда больше».
ИМХО что поможет телеграмму — отвязать аккаунты от номеров и добавить больше вариантов авторизации — по паролю, пароль+емеил, пароль+смс, софт-токен, физический токен, классическое смс (для самозлобных буратин). Аналогично и с регистрацией, может где-то телефонный номер это уникально и валидно, но я могу придти в киоск и сказать «дайте мне полкило вон тех синеньких симок» (что я и сделал когда регистрировался в телеге), емеил порой сложнее зарегистрировать.
Главная причина «мании» — удобство синхронизации с записной книжкой, чтобы не надо было каждого знакомого вручную вбивать в мессенджер. Но действительно могли бы сделать это один раз при регистрации, а потом позволить спокойно отвязаться от номера и заменить надёжными способами авторизации.
Очень сомнительное решение, не менее сомнительное чем auth по СМС. Приведу только два пункта, которых, хватит по самые уши: 1 — мне (да и не только мне, с сантехником или горгазом в телеграме картиночками меняться?) нахрен не сдались все номера телефонной книги в мессенджере, 2 — приложение, оно на телефоне, зачем ему нужен номер что-бы посмотреть в книгу на том-же телефоне? А если оно не на телефоне — то и номер и книга не нужны.
Какие-то левые аргументы
1. @ с сантехником или горгазом.
Во-первых, у горгаза не мобильник, так что в телеграме поговорить не получится.
Во-вторых, у вас что, реальных знакомых в записной книжке не встречается?
Повторюсь — синхронизация нужна, чтобы все знакомые сразу же в контактах мессенджера оказались и не нужно было с каждым заново связываться для выяснения id в новом мессенджере — это главный барьер на пути адаптации любого «социального» продукта, и утрирование с горгазом помогает этот барьер снизить примерно никак.
@ зачем ему нужен номер что-бы посмотреть в книгу на том-же телефоне?
Чтобы узнать номер других людей, с которыми у вас есть социальные связи (установленные через номер телефона) и чтобы другим людям было так же просто это сделать.
@А если оно не на телефоне — то и номер и книга не нужны.
Конечно, нужны. Слышали, что контакты с телефонами можно вне телефона хранить?
@мне… не сдались
Ну, вам не сдались, а другим сдались, и просить других перейти на защищённую переписку на порядок легче через простую установку приложения, чем через установку+воссоздания части записной книжки через поиск людей и установление контакта заново.
1. @ с сантехником или горгазом.
Во-первых, у горгаза не мобильник, так что в телеграме поговорить не получится.
Во-вторых, у вас что, реальных знакомых в записной книжке не встречается?
Повторюсь — синхронизация нужна, чтобы все знакомые сразу же в контактах мессенджера оказались и не нужно было с каждым заново связываться для выяснения id в новом мессенджере — это главный барьер на пути адаптации любого «социального» продукта, и утрирование с горгазом помогает этот барьер снизить примерно никак.
@ зачем ему нужен номер что-бы посмотреть в книгу на том-же телефоне?
Чтобы узнать номер других людей, с которыми у вас есть социальные связи (установленные через номер телефона) и чтобы другим людям было так же просто это сделать.
@А если оно не на телефоне — то и номер и книга не нужны.
Конечно, нужны. Слышали, что контакты с телефонами можно вне телефона хранить?
@мне… не сдались
Ну, вам не сдались, а другим сдались, и просить других перейти на защищённую переписку на порядок легче через простую установку приложения, чем через установку+воссоздания части записной книжки через поиск людей и установление контакта заново.
Похоже мы смотрим из противоположных позиций. Я исхожу из того, что софт должен выполнять СВОЙ функционал и не лезть во все остальное. Мне на почте не предлагают подписку на журнал «рыбалка и охота» потому-что «вот вы дважды писали Иванову, а он выписывает этот журнал» — почта это средство доставки. А мессенджер абсолютно точно не должен строить из меня график социальных связей (ваш пункт 2), шариться по моему компьютеру в поисках, якобы, контактов (ваш пункт 3), и тем-более заниматься диванным анализом всего этого найденного (ваш пункт 1), даже на тему «а это не мобильный номер — не добавляем».
Вообще вы как-то странно постоянно напоминаете о синхронизации и хранении контактов — это же все решается в 2 функции — хранение контакт листа на сервере, запрос на новом устройстве «хотите ли добавить контакты из книги контактов».
Вообще вы как-то странно постоянно напоминаете о синхронизации и хранении контактов — это же все решается в 2 функции — хранение контакт листа на сервере, запрос на новом устройстве «хотите ли добавить контакты из книги контактов».
Разговор начался с того, что вы «не поняли манию». Вам теперь понятно, что это делается для обеспечения удобства т.н. discoverability? Или всё ещё непонятно?
Не согласны — не пользуйтесь этим доп. удобством, но и не надо свои ограничения другим навязывать.
Он и выполняет СВОЙ функционал — позволяет мне отправлять и получать мгновенные зашифрованные сообщения моим знакомым. Аналогия ваша левая, т.к. вообще никак не связана тем, что происходит в телеграмме — он не следит за подписками Иванова, а всего лишь говорит вам, зарегистрирован Иванов или нет в зависимости от идентификатора (№ телефона), который Иванов оставил при регистрации для того, чтобы его можно было легче найти. Более правильная аналогия — вы звоните в справочную и пытаетесь узнать, какой у Иванова номер телефона, чтобы с ним связаться, обладая идентификатором ФИО. Только в данном случае всё происходит автоматом.
1. Никакого анализа и не происходит, данный результат получается автоматом просто потому, что фиксированный номер не зарегистрируешь в телеграмме. Может, всё-таки не стоит придумывать несуществующие проблемы, когда аргументов не хватает?
2. Чем ваша «абсолютная точность» обосновывается?
3. Почему якобы? Кто и где шарится? У меня при установке попросил доступ к контактам и их загрузил на сервер, нигде больше не «шарился». При установке на компе тоже нигде не шарился, даже не спрашивал про доступ, просто подгрузил контакты с сервера (я редко десктопным клиентом пользуюсь, поэтому могу ошибаться, но вроде телеграм только с телефонной контактной книгой синхроинизируется).
Не понял, чем ваше предложение про две функции отличается от того, что есть сейчас — телеграм просит доступ к контактам, получает его и хранит контакт лист на сервере.
@постоянно напоминаете о синхронизации и хранении контактов
Нет, постоянно я напоминаю о другом — об удобстве поиска знакомых в новом мессенджере, что является одним из важных препятствий на пути к использованию нового приложения.
Не согласны — не пользуйтесь этим доп. удобством, но и не надо свои ограничения другим навязывать.
Он и выполняет СВОЙ функционал — позволяет мне отправлять и получать мгновенные зашифрованные сообщения моим знакомым. Аналогия ваша левая, т.к. вообще никак не связана тем, что происходит в телеграмме — он не следит за подписками Иванова, а всего лишь говорит вам, зарегистрирован Иванов или нет в зависимости от идентификатора (№ телефона), который Иванов оставил при регистрации для того, чтобы его можно было легче найти. Более правильная аналогия — вы звоните в справочную и пытаетесь узнать, какой у Иванова номер телефона, чтобы с ним связаться, обладая идентификатором ФИО. Только в данном случае всё происходит автоматом.
1. Никакого анализа и не происходит, данный результат получается автоматом просто потому, что фиксированный номер не зарегистрируешь в телеграмме. Может, всё-таки не стоит придумывать несуществующие проблемы, когда аргументов не хватает?
2. Чем ваша «абсолютная точность» обосновывается?
3. Почему якобы? Кто и где шарится? У меня при установке попросил доступ к контактам и их загрузил на сервер, нигде больше не «шарился». При установке на компе тоже нигде не шарился, даже не спрашивал про доступ, просто подгрузил контакты с сервера (я редко десктопным клиентом пользуюсь, поэтому могу ошибаться, но вроде телеграм только с телефонной контактной книгой синхроинизируется).
Не понял, чем ваше предложение про две функции отличается от того, что есть сейчас — телеграм просит доступ к контактам, получает его и хранит контакт лист на сервере.
@постоянно напоминаете о синхронизации и хранении контактов
Нет, постоянно я напоминаю о другом — об удобстве поиска знакомых в новом мессенджере, что является одним из важных препятствий на пути к использованию нового приложения.
Доставку SMS вполне можно отключить через ihelper.mts.ru (уязвимость, украденный пароль, вход через соцсеть).
Возможно есть и уязвимость позволяющая подбирать коды к мессенджеру, либо опять же через личный кабинет МТС («Сервис «SMS-архив» запущен в тестовую эксплуатацию.»).
Возможно есть и уязвимость позволяющая подбирать коды к мессенджеру, либо опять же через личный кабинет МТС («Сервис «SMS-архив» запущен в тестовую эксплуатацию.»).
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Мне вот непонятно, исходя из хронологии событий, обратное подключение сервиса SMS происходит через два часа после того как злоумышленник уже ввел код активации. Любая спецслужба, которое готовит операцию сначала ее разрабатывает, буквально до любых мелочей все прорабатывает.
Человек, у которого отжали социальную сеть за то что не разглашал переписку, удивляется что нешифрованую СМС видете-ли перехватили.
Просто не надо юзать телеграм (и прочее подобное) и помогать пчёлам, которые исключительно на словах против мёда. Если бы телеграм действительно хотел защитить пользователей, в нём бы не было привязки к сотовому аккаунту, а модель угроз бы включала атакующего подобного уровня.
Особо интересно заявление о людоедских режимах выглядит в контексте соседней новости: «Верховный суд США разрешил обыск компьютеров в любой юрисдикции»
Иллюзия свободы выбора, лично моё мнение, в 21-ом веке — лучшее, чем можно было засрать мозг простому обывателю! %) А романтические изречения в стиле: — Заниматься тем, к чему лежит душа; вообще, феерический вброс… Интересно, как много родилось людей, у которых душа лежит добывать уголь, подметать улицы, варить сталь и другие ферросплавы и далее по списку; или они не люди или без них проживём?!.. А таких «нелюдей», к сожалению, подавляющее большинство и их, увы, не слышно, но вопрос, даже, не в этом, вопрос в том, а хотите ли Вы их услышать?! Человечество еще никогда не было столь управляемым и контролируемым, как на сегодняшний день, к добру это или к худу, но «маемо, шо маемо», а результат увидим скоро…
Какие прослушки с радиостанцией, когда весь голосовой и SMS траф доступен каждому желающему? www.3dnews.ru/923316
А Телеграм этот, простите, смешно даже, здесь шифруем, здесь не шифруем, здесь рыбу заворачивали, а здесь мы историю на сервере храним, а тут у нас сбоку двухфакторная, и вы все сами виноваты. Шифровать e2e надо вообще всё, и не хранить ничего. И авторизация должна быть нормальная, одна.
А Телеграм этот, простите, смешно даже, здесь шифруем, здесь не шифруем, здесь рыбу заворачивали, а здесь мы историю на сервере храним, а тут у нас сбоку двухфакторная, и вы все сами виноваты. Шифровать e2e надо вообще всё, и не хранить ничего. И авторизация должна быть нормальная, одна.
Телеграмму все же стоит ввести сквозное шифрование по умолчанию, как уже сделали Whatsapp и Viber. В таких случаях угон номера не приведет к раскрытию прошлой переписки.
Даже без всякого e2e, угон номера не приводит к раскрытию прошлой переписки (https от live прослушки), если история не на сервере, как в Telegram. Кроме того, и Viber и Telegram хранят телефонную книжку на сервере, так что сливается и весь список контактов, даже не виберных или телеграмных. Мыши плакали, кололись, но продолжали жрать Telegram — самый дырявый мессенджер.
Мне вот больше интересен ответ от МТС, по какой именно причине отдел технологической безопасности отключил сервис доставки SMS-сообщений.
Уже говорят никто ничего не делал:
«Никаких целенаправленных действий по отключению услуг не производилось», — сообщил представитель оператора. Он отметил, что компания «не исключает вероятности вирусной атаки или доступа к аккаунту через веб-интерфейс».
Любопытно, «пострадавшие» уверены что не было ордера? Во всех странах спецслужбы имеют право прослушивать при наличии ордера, о чём сыр-бор?
"… сим-карте адекватной юрисдикции..." — ага, ага, что б уж все спецслужбы имели доступ, как с юрисдикции сим-карты, так и с юрисдикции фактического местонахождения :)
Почему-то никто не обсуждает такой вот вектор атаки:
(На скриншоте — сервис МегаФона, но МТС Connect, по идее, аналогичен)
(На скриншоте — сервис МегаФона, но МТС Connect, по идее, аналогичен)
А почему, собственно, спецслужбы?
Любой может.
Нужен доступ к телефону предполагаемой жертвы на 5 мин.
Вы никогда не оставляли телефон без присмотра на 5 мин?
Пример с МТС'ом:
1. Отсылаем с телефона жертвы смс с новым паролем для личного кабинета оператора связи. (те самые заветные 5 минут)
2. В личном кабинете подключаем услугу «Запрет информирования при подключении/отключении услуги»
3. Отключаем абоненту услугу «СМС»
4. Подключаем услугу «СМС ПРО». В рамках этой услуги можно не только читать смс, но и установить переадресацию смс.
5. PROFIT.
P.S. по окончании не забываем вернуть всё обратно. А то подумает, не дай бог, что это НЕ спец.службы.
Любой может.
Нужен доступ к телефону предполагаемой жертвы на 5 мин.
Вы никогда не оставляли телефон без присмотра на 5 мин?
Пример с МТС'ом:
1. Отсылаем с телефона жертвы смс с новым паролем для личного кабинета оператора связи. (те самые заветные 5 минут)
2. В личном кабинете подключаем услугу «Запрет информирования при подключении/отключении услуги»
3. Отключаем абоненту услугу «СМС»
4. Подключаем услугу «СМС ПРО». В рамках этой услуги можно не только читать смс, но и установить переадресацию смс.
5. PROFIT.
P.S. по окончании не забываем вернуть всё обратно. А то подумает, не дай бог, что это НЕ спец.службы.
Вы никогда не оставляли телефон без присмотра на 5 мин?
Оставляю только дома, так что вы забыли пункт подговорить кого-то из семьи всё это сделать :)
Услуга СМС-Про не переадресовывает и не получает сообщения с сервисных номеров.
Проверил. Действительно не переадресовывает с коротких и сервисных.
Был не прав.
Зато уточнил по смс-архиву: сохраняет все. Правда работает с перебоями.
p.s. Своим комментарием я хотел донести несколько другую мысль. Видимо необходимо сформулировать её одной фразой:
В современности зачастую нет необходимости работать в спец.службах или быть «хакером», для того чтобы получить доступ к личной информации или к аккаунтам людей.
Был не прав.
Зато уточнил по смс-архиву: сохраняет все. Правда работает с перебоями.
p.s. Своим комментарием я хотел донести несколько другую мысль. Видимо необходимо сформулировать её одной фразой:
В современности зачастую нет необходимости работать в спец.службах или быть «хакером», для того чтобы получить доступ к личной информации или к аккаунтам людей.
Как смски из телеграма попадают в МТС? Через смс-агрегатора? Может, здесь дыра?
Насколько я знаю, йота вообще не имеет возможности работы с симкой через браузер.
Ну и в любом случае, пора от МТСа уходить, достали уже деньги сдирать с неактивного телефона
Ну и в любом случае, пора от МТСа уходить, достали уже деньги сдирать с неактивного телефона
Оппозиционеры представили доказательства отключения SMS при взломе их Telegram
meduza.io/news/2016/05/04/oppozitsionery-predstavili-dokazatelstva-otklyucheniya-sms-pri-vzlome-ih-telegram
— Козловский и Албуров опубликовали полученные от МТС счета за услуги, оказанные в апреле 2016 года. В счетах есть записи об удалении и добавлении услуги «Служба коротких сообщений». Эти операции были совершены в ночь на 29 апреля.
meduza.io/news/2016/05/04/oppozitsionery-predstavili-dokazatelstva-otklyucheniya-sms-pri-vzlome-ih-telegram
— Козловский и Албуров опубликовали полученные от МТС счета за услуги, оказанные в апреле 2016 года. В счетах есть записи об удалении и добавлении услуги «Служба коротких сообщений». Эти операции были совершены в ночь на 29 апреля.
Кроме того, Козловский опубликовал запись разговора с сотрудницей МТС, которая сообщила, что SMS-сервис на его номере был отключен в 2:25 и включен в 4:55 29 апреля. По словам сотрудницы, эти действия производил «отдел технологической безопасности МТС».
Кто хочет анонимности и защищённости, тот может купить сим-карту в переходе или с электричке. Во втором случае стоимость такой сим-карты будет 25 рублей (для регионов), регистрация на какое-нибудь левое ИП.
«в 2:40, кто-то с Unix-консоли по IP-адресу 162.247.72.27 (это один из серверов анонимайзера Tor)»
«В 3:12 аналогичным образом с того же IP-адреса (т.е. через ту же сессию Tor)»
Разве за это время адрес выходной ноды не должен был смениться? Наводит на мысли о подконтрольности именно этой ноды…
«В 3:12 аналогичным образом с того же IP-адреса (т.е. через ту же сессию Tor)»
Разве за это время адрес выходной ноды не должен был смениться? Наводит на мысли о подконтрольности именно этой ноды…
А что мешает купить симску на дальнего друга\алкоголика Васю и купить Б\У телефон. Включать раз в пару недель вдали от дома, делать звонок на 100 (узнать время) или другие справочные службы и выключать? Я так понял, данная жертва палила везде свой реальный номер + на нем же использовала телеграм? Так суть данного мессенджера в том, что можно скрыть свой реальный номер и общаться по нику. В чем проблема, говорить и сообщать всем своей публичный номер, а в телеграмме сидеть вообше с левого номера, который известен лишь тебе?
Опять же, по логике все тру-оппозиционеры etc. должны сидеть в XMPP+OTR. Вероятность слиться маловероятна, ежели использовать адекватные меры безопасности. В данном случаи получается что парень везде светил своим телефоном, пиарил себя, активно форсил телеграм, за это и поплатился.
Опять же, по логике все тру-оппозиционеры etc. должны сидеть в XMPP+OTR. Вероятность слиться маловероятна, ежели использовать адекватные меры безопасности. В данном случаи получается что парень везде светил своим телефоном, пиарил себя, активно форсил телеграм, за это и поплатился.
В данном случае получается что парень везде светил своим телефоном, пиарил себя, активно форсил телеграмЭти рассуждения были бы верны, если бы речь шла о частном лице, цель которого — замаскироваться, чтобы его никто не знал.
А этот человек — политический деятель и публицист. Его цели — 1) донести информацию до максимального числа людей и 2) увеличивать свои возможности по распространению важной информации в будущем.
То есть они прямо противоречат цели «не светиться и не высовываться, чтобы спецслужбы не заметили».
Я не говорю, что у публичного лица не должен быть публичный\личный телефон. Пожалуйста, но надеяться на защищенность данного телефона тогда не стоит. Надо разделять личное и публичное. Личное лучше не светить, тк желающих получить информацию будет достаточно.
Пишут тебе на публичный телеграм — сообщи нужным людям, мол пишите на @sec_name тут ничего серьезного не обсуждаю. Телефонный номер от @sec_name знаешь лишь ты, метод атаки как в новости этой отпадает.
Пишут тебе на публичный телеграм — сообщи нужным людям, мол пишите на @sec_name тут ничего серьезного не обсуждаю. Телефонный номер от @sec_name знаешь лишь ты, метод атаки как в новости этой отпадает.
Мешает то, что это очень неудобный танец с бубном, особенно когда есть на порядок проще альтернатива (пароль).
Плюс левый номер лишает удобства по связи с существующими контактами, у которых указан «правый» номер.
И никакой логики с XMPP нет, т.к. при «адекватных мерах» вероятность точно такая же, а неудобства на небольшой вагончик больше.
Плюс левый номер лишает удобства по связи с существующими контактами, у которых указан «правый» номер.
И никакой логики с XMPP нет, т.к. при «адекватных мерах» вероятность точно такая же, а неудобства на небольшой вагончик больше.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Спецслужбы начали перехватывать SMS-коды авторизации Telegram